Hôtels, gouvernements et entreprises : voici FamousSparrow, la nouvelle terreur du cyberespionnage

23 septembre 2021 à 15h45
0
piratage-hacking-hacker.jpg © Pixabay
© Pixabay

Les cibles du groupe FamousSparrow, récemment découvert par ESET Research, sont multiples. Et parmi les hôtels, entreprises, gouvernements ou cabinets d'avocats visés, certains se trouvent en France.

Les spécialistes en cybersécurité d'ESET Research nous annonce avoir découvert un nouveau groupe de cyberespionnage, baptisé FamousSparrow. Celui-ci serait tout de même actif depuis 2019 et s'attaque à des hôtels du monde entier, mais aussi à des entreprises internationales, des gouvernements, des cabinets d'avocats et des sociétés d'ingénierie. L'espionnage informatique resterait le principal objectif du groupe.

Les vulnérabilités ProxyLogon Exchange ont entraîné bien des conséquences, partout dans le monde

FamousSparrow frappe la plupart des régions du globe. ESET Research évoque ainsi, parmi les pays victimes, la France, la Lituanie et le Royaume-Uni pour l'Europe ; le Brésil, le Canada et le Guatemala pour l'Amérique, Israël et l'Arabie Saoudite pour le Moyen-Orient ; Taïwan pour l'Asie et le Burkina Faso pour l'Afrique.

On apprend à la lecture de l'enquête menée par l'entreprise spécialisée en cybersécurité que FamousSparrow a exploité les vulnérabilités ProxyLogon de Microsoft Exchange, failles déjà signalées par ESET en mars dernier. Pour mémoire, cette chaîne de vulnérabilité fut exploitée par une dizaine de groupes de cybercriminels, tous passés par l'accès au serveur Exchange pour exécuter du code à distance et ensuite prendre le contrôle de serveurs de messagerie Exchange partout dans le monde, afin de dérober des données de réseau.

Le groupe FamousSparrow aurait commencé à exploiter les vulnérabilités ProxyLogon à compter du 3 mars 2021, soit dès le lendemain de la publication des quatre correctifs par Microsoft. Au moins un autre groupe APT (ces groupes spécialisés dans les attaques sournoises destinées à l'espionnage et au vol de données) a donc pu avoir accès aux informations de la chaîne de vulnérabilités ProxyLogon.

Un groupe distinct, mais qui conserve des liens avec d'autres

Pour Matthieu Faou, le chercheur d'ESET qui a découvert FamousSparrow (en compagnie de Tahseen Bin Taj), l'information de l'exploitation des vulnérabilités ProxyLogon est le « signe qu'il est essentiel de corriger rapidement les applications connectées à Internet, ou lorsqu'une correction n'est pas possible, de ne pas les exposer du tout à Internet ».

Le groupe FamousSparrow serait aujourd'hui le seul à utiliser une porte dérobée personnalisée, découverte ces derniers mois par ESET et baptisée Sparrow Door. Le groupe utiliserait par ailleurs deux versions personnalisées de Mimikatz, un outil de post-exploitation aussi bien utile pour attaquer que pour défendre des systèmes Windows, et qui aiderait à relier d'autres incidents avec FamousSparrow.

Si FamousSparrow a tout d'une entité distincte, le collectif de cybercriminels aurait tout de même des liens avec d'autres groupes ATP connus.

Source : ESET Research

Modifié le 23/09/2021 à 21h13
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
1

Lectures liées

Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Haut de page